- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8388900802-4527228943-925251225-8009\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1995077776-8822001208-214997851-9978\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9358920824-5747017415-109618619-3298\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7095012187-5998148888-495530816-6659\winncr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3244921661-2999930909-321293208-9829\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6172177718-9741811701-935522529-3145\wmfcgr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4761460591-4166555390-341741572-7475\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7827049555-5328448786-808112780-9422\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1855207194-0301441199-522753818-3863\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6968961080-9966784403-148664675-7145\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8333956130-3502161148-917876400-1999\winncr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0708304634-4684485245-097031049-9446\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7340184977-8636987574-084382323-0761\sysdrv.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1552234577-1035237134-365974955-7486\msdrive.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6657117959-9787448467-032247606-8366\wnzip32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1456\budau44.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0708304634-4684485245-097031049-9446\sysdrv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7340184977-8636987574-084382323-0761\sysdrv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1552234577-1035237134-365974955-7486\msdrive.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8333956130-3502161148-917876400-1999\winncr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6968961080-9966784403-148664675-7145\sysdrv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1855207194-0301441199-522753818-3863\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8388900802-4527228943-925251225-8009\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1995077776-8822001208-214997851-9978\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9358920824-5747017415-109618619-3298\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7095012187-5998148888-495530816-6659\winncr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-3244921661-2999930909-321293208-9829\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6172177718-9741811701-935522529-3145\wmfcgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4761460591-4166555390-341741572-7475\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7827049555-5328448786-808112780-9422\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6657117959-9787448467-032247606-8366\wnzip32.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log